Как реализовать HSTS на моем сайте

Не уверен, что это правильно для Stackoverflow. С другой стороны, он охватывает так много тем, что он не подходит ни на одном другом сайте StackExchange. Так или иначе, постараюсь ответить.

Перенаправление.

Что значит «я могу перенаправить свой сайт на https»? Вы должны перенаправить свой сайт на https, теперь вы прошли через настройку, так что вы делаете это? Или вы можете получить доступ к http и https? Если это так, узнайте, как заставить HTTPS, даже если пользователь устанавливает http.

Это настраивается с помощью правила перенаправления на вашем веб-сервере. Не уверен, есть ли у вас прямой доступ к вашей конфигурации (например, к файлу .htaccess, если вы используете Apache) или требуется, чтобы ваш хост-провайдер установил это для вас.

поиск Гугл

Что касается Поиска Google, после того как вы настроите перенаправление, Google потребуется некоторое время, чтобы распознать это и обновить ссылки в своем поисковом индексе, чтобы показать https-версию страниц.

Сказать, что есть способы сообщить об этом Google, чтобы ускорить процесс:

• Вы принудительно перенаправляете на https? Если нет, Google решит, какой сайт показывать (http или https), исходя из ряда факторов.
• У вас есть карта сайта и обновили ли вы эти ссылки на https?
• Есть ли у вас настройка rel = «canonical» в HTML любой из ваших страниц, и установлена ​​ли она на версию https? Это сообщает Google, какая версия страницы является реальной, если, например, вы разрешите обе версии http и https (не рекомендуется).
• Вы зарегистрировали https-версию своего сайта в Google Search Console? Если да, то есть ли там ошибки? Вы также можете запустить запрос на переиндексацию здесь.
• Вы установили все внутренние ссылки, чтобы быть https или, еще лучше, относительные ссылки.
• Можете ли вы обновить любые внешние ссылки на https вместо http.

HTTP Strict Transport Security (HSTS)

Это сложная тема, поэтому я бы не рекомендовал ее, пока не поймёшь ее. По сути, это HTTP-заголовок, который вы отправляете обратно со своей веб-страницей через https, чтобы сообщить веб-браузерам: «эй, я только https-сайт. Теперь автоматически переводите любые http-запросы в https». до Вы даже отправляете их мне «.

Это хорошее дополнение безопасности на вершине перенаправляет, но это важно не заменяет необходимость перенаправления. Сначала необходимо установить Redirecta для отправки его на https, после чего ваш веб-сервер может отправить HTTP-заголовок HSTS.

Чтобы настроить его, вы отправляете HTTP-заголовок следующим образом (но только через запросы https).

Strict-Transport-Security "max-age=16070400"

Это можно настроить на вашем веб-сервере, в ваших php-файлах или любым другим способом, которым вы можете отправлять HTTP-заголовки.

Имейте в виду, что это предотвратит доступ вашего сайта по протоколу http, поэтому, если вы решите отключить https по какой-либо причине, вы фактически заблокировали свой сайт на срок до максимального срока для любых браузеров, которые имеют кэшировал эту настройку.

Для получения дополнительной информации о HSTS смотрите здесь:
301 редирект и HSTS в .htaccess

Но я действительно не думаю, что это то, что вы ищете здесь. Он сообщает веб-браузерам (например, Google Chrome), чтобы они вызывали https, и не имеет ничего общего с поисковыми системами (такими как Google Search), так как в настоящее время они игнорируют этот заголовок.